GDPR a pojištění kybernetických rizik aneb jak efektivně snížit náklady na pojistku.

Napadá mě jistá analogie s pojištěním mého auta. I když mám svůj vůz v poměrně dobrém stavu a technickými kontrolami procházím bez potíží, přesto si pojištění a připojištění platím. A dlužno říct, že mi pojistka při mé nedávné nezaviněné autonehodě významně pomohla vyřešit vzniklé potíže. Podobné to může být i s pojištěním firemních kybernetických rizik. I když je zabezpečení dat dostatečné, firemní procesy pod kontrolu a případně společnost prošla certifikovaným hodnocením rizik, stále je tu dost velká šance na to, že data náhodně uniknou nebo aby se do sítě dostal nevítaný návštěvník. Zejména pak střední a malé firmy, které mají IT aktivity a pracovníky dimenzované podle potřeb svého podnikání, mohou být nenadálým únikem dat či útokem fatálně zaskočeny.

Je tedy dobré zvažovat,  zda současnou snahu o vyšší zabezpečení a ochranu dat nespojit s uzavřením firemního pojištění kybernetických rizik  včetně příslušných odpovědnostních pojistek. A tady se nabízí logické spojení. To, že firma usiluje kvůli GDPR o zabezpečení dat na požadované úrovni, může významně přispět k tomu, aby pojistka nedosáhla vysokých hodnot a její plnění bylo uspokojivě vysoké pro likvidaci následků případného úniku dat.

Jedním z důvodů totiž je, že při sjednávání pojištění firma opět prochází hodnocením rizik. A pokud si díky přípravě na GDPR firma udělá svůj „domácí úkol“, pak tato rizika budou již ošetřena. Jaké obvyklé požadavky kladou  pojištění kybernetických rizik na firemní bezpečnost?

1/ Kryptování dat a provozu

Zajistěte, aby vaše síť byla šifrována. Potřebné úrovně zabezpečení budou samozřejmě záviset na podmínkách ve společnosti. Obchodní data, osobní a citlivé údaje budou vyžadovat více vrstvé šifrování. Nepoužívejte snadno odhadnutelná hesla. Ujistěte se, že na úrovni aplikací je také zašifrována komunikace v síti s použitím bezpečných metod, například TLS.

Sdílená hesla pro firemní Wi-Fi nevyužívejte pro citlivá data. Zajistěte ještě vyšší bezpečnostní úroveň pro jednotlivé uživatele s hesly s právy k jednotlivým úrovním. (nebo i pro specifická zařízení) oproti jednomu síťovému heslu, které ve firmě používá každý.

2/ Zálohování dat

Ujistěte se, že vaše data jsou vždy bezpečně zálohovány a zálohy jsou snadno dostupné. Ztráta dat se může výrazně prodražit, zejména jsou-li vaše data napadena ransomwarem. Pokud vaše firma nemá zálohování na potřebné úrovni,  synchronizaci dat a souborů se silným šifrováním, je nyní nejvyšší čas.

Dnes nejběžnějšími způsoby, jak zálohovat firemní data, je využití zálohovacího on-premise nebo cloudového řešení, případně kombinaci obou v hybridním cloudovém řešení. Můžete samozřejmě použít jen některý z nich a je to jen na vás, jak moc chcete mít data bezpečně uložena.

3/ Monitoring sítí

Vzdálený monitorovací software může díky reakci a okamžitému zaslání upozornění na změny nebo problémy pomoci odrazit kybernetické útoky. Tento software, který hlásí veškeré informace zpět do centrálního serveru, by měl být instalován na každém zařízení připojeném k síti. Softwarový nástroj provádí v pravidelných intervalech kontrolu zařízení a odesílá zprávy o výsledcích této činnosti. Tento systém je skvělý pro kritické servery nebo aplikace, které mají být k dispozici 24/7.

Monitoring může varovat, že probíhají pokusy pro přístup k síti s cílem ji poškodit. Systémoví manageři jsou pak v případě, že počet chybných pokusů o přihlášení dosáhne předem definovaných hodnot, upozorněni. A pokud se hackerovi podaří úspěšně získat kontrolu nad systémy a začnou se dít nevhodné změny, systémy detekce průniku (IDS) mohou na změny, které byly provedeny, upozornit. Je to důležitý prvek totální ochrany proti cyber útoku.

4/ Včasná aktualizace bezpečnostních nástrojů

Antivirový software je prostě nutností. Pro firmy je důležité vědět, zda je antivirový software je na počítačích nebo mobilních zařízeních nainstalován, zda je aktivní a v aktuální verzi. Centrální správa softwaru, počítačů, mobilních telefonů nebo tabletů může být velkou výhodou.  Jinak se totiž musí provádět kontrola a nastavení každého zařízení individuálně a může tak dojít k přehlédnutí důležitých signálů o zneužití či napadení.

Vhodným nastavením webu a zabezpečeného e-mailu lze zajistit ochranu před klikáním uživatelů na nežádoucí stránky a odkazy nebo chránit adresáta před emaily od nežádoucích odesílatelů. Zejména hackeři specializovaní na ransomware díky dobrému financování přicházejí stále častěji s novými verzemi tohoto škodlivého softwaru. Proto neaktualizovaný anti-virus nebo bezpečnostní software neochrání ve svém důsledku firemní sít a data před fatální škodou.

5/ Proaktivní vyhledávání možných rizik

Firemní systém nelze nastavit jen jednou a nechat ho být. Firmy by měly pracovat aktivně, aby si udržely náskok před veškerým vývojem v oblasti kybernetických útoků. Díky tomu lze používat tyto informace k analýze a úpravě stávajících systémů a údržbě zabezpečení svého systému.

6/ Bezpečnostní vzdělávání a výcvik zaměstnanců

Pokud jde o kybernetickou bezpečnost, vzdělání zaměstnanců by měly firmy brát jako prioritu. Povinné školení a výcvik zaměstnanců v kybernetické bezpečnosti by měl být součást nástupního procesu a jejich trvalého vzdělávání. Je třeba opravdu zajistit, aby každý člověk ve firmě měl na paměti důsledky svého jednání, zacházení s daty a z pohledu GDPR zejména s osobními a citlivými údaji.

Tréning v oblasti cyber bezpečnosti by měl pravidelně probíhat u každého pracovníka ve společnosti nebo organizaci. Lze doporučil i „cyber“ bezpečnostního technika, který na tuto specifickou oblast bezpečnosti práce dohlíží.

Když už tedy mluvíme o kybernetických útocích na sítě, počítače a mobilní zařízení, čím více vzdělání a tréningu, tím lépe. Zaměstnanci si už z principu nebudou ztěžovat na to, že jsou zdržováni v práci dodržováním zdánlivě obtěžujícími nařízeními. Jejich přirozená snaha ulehčit si práci obejitím bezpečnostních pravidel se ale určitě vymstí.

A jak jsou dnes na GDPR připraveny pojišťovny?

Výše vyjmenovaná opatření jsou standardními bezpečnostními opatřeními, která by měly vést k vyšší IT bezpečnosti ve firmách a organizacích. Pokud by však k vyšší bezpečnosti měly přispět i pojištění kybernetických rizik, je v tuto chvíli třeba vyřešit několik poměrně zásadních otázek na straně českých pojišťoven.

Úvodním tématem je především současná velmi nízká nabídka pojišťovacích produktů na českém trhu, které by firmám krytí nových kybernetických rizik poskytly. Další tématem je rozsah poskytovaných pojistných krytí. Většina zahraničních pojištění poskytuje krytí na řadu rizik jako je ztráta a zcizení dat, ztráta a zcizení osobních údajů přerušení provozu, reputační rizika nebo odpovědnostní rizika a další. A neposlední otázkou je výše krytí pojištění, ceny za pojistku, rozsah výjimek z pojišťovacích podmínek a další.

Specifickou otázkou k diskuzi nad rozsahem pojistného krytí jsou pak třeba položky jako pokuty regulátorů nebo platby vyděračům za obnovení přístupu k datům. Tyto otázky se odvíjí zejména od konzervativního přístupu pojišťoven k novým kybernetickým rizikům, na které nelze aplikovat doposud známé modelování rizik. Nicméně inspiraci budou lokální pojišťovací ústavy jistě hledat v zahraničí, kde se tamější pojišťovny s podobnými porodními bolestmi již více či méně úspěšně vypořádaly.

Autor:
Petr Moláček
Daniel Konečný
Principal engineering s.r.o.

Společnost Principal engineering s.r.o. připravuje na 28.3.2017 konferenci, jenž by měla zodpovědět odborné veřejnosti otázky, zdali jsou pojišťovny připraveny na nová rizika, jak je lze pojistit, zda je GDPR pro pojišťovny příležitostí a dojde i na live hacking demo.

Bližší informace najdete zde.